Malware BrazKing Android
O BrazKing é um malware bancário para o celular, que executa ataques de sobreposição para coletar as credenciais bancárias de suas vítimas. A ameaça tem como alvo os ispositivos ANdroid e os usuários localizados no Brasil predominantemente, possivelmente sugerindo que suas operadoras também estejam localizadas na região. Os pesquisadores da IBM Trusteer destacaram a ameaça ao liberar um relatório com suas descobertas após a análise de várias amostras do BrazKing. Até o momento, os especialistas estão confiantes de que o BrazKing ainda está em desenvolvimentoativamente devido às diferenças significativas introduzidas nas versões mais recentes da ameaça.
Índice
Ele Abusa do Serviço de Acessibilidade do Android
O recurso Acessibilidade visa tornar o uso do dispositivo móvel mais confortável para pessoas com deficiência. Contudo,os cibercriminosos o aperfeiçoaram e estão explorando o serviço para realizar várias ações nefastas nos dispositivos infectados. BrazKing conta com serviço de Acessibilidade extensivamente, pois isso permite que a ameaça limite o número de permissões específicas que precisariam ser concedidas pelo usuário. Como resultado, o BrazKing pede um pequeno número de permissões menos suspeitas.
Em segundo plano, o BrazKing pode simular toques na tela, estabelecer rotinas de keylogging, atuar como um RAT (Trojan de Acesso Remoto), interceptar e ler um MS capturando o texto das mensagens enquanto ele é exibido na tela e acessar as listas de contatos do usuário por lendo-os na tela 'Contatos' silenciosamente. A ameaça também estabelece um mecanismo de persistência baseado nas funções do serviço de Acessibilidade. Se os usuários tentarem restaurar as configurações de fábrica do dispositivo infectado, o BrazKing irá simular imediatamente um toque nos botões 'Voltar' e 'Página inicial'. A mesma técnica também é usada para evitar que os usuários iniciem soluções anti-malware ou tentem executar uma varredura no dispositivo.
Vetor de Infecção
As vítimas são induzidas a instalar a ameaça por meio de mensagens de phishing contendo o URL de um site fraudulento. O site enganoso usa táticas de intimidação, tais como alegar que o dispositivo do usuário está com a segurança desatualizada e será bloqueado. Para corrigir esse problema inexistente, os usuários são direcionados a clicar no botão fornecido que supostamente irá 'atualizar' o sistema operacional do dispositivo. Na realidade, ele entregará o malware BrazKing no Android. Os usuários ainda precisarão aprovar o download, pois o aplicativo vem de uma fonte desconhecida. Depois disso, a ameaça tentará obter as pequenas permissões de que precisa, mascarando-as como requisitos do Google.
Ataques de Sobreposição
As versões anteriores do BrazKing buscavam a tela de login falsa para os aplicativos bancários almejados a partir de uma URL codificada. Versões mais recentes deixaram de usar essa técnica para se tornarem mais simples, ágeis e elusivas. Na verdade, a ameaça agora faz uma chamada automática para seu servidor de comando e controle (C2, C&C) e solicita a tela de sobreposição necessária imediatamente. Os cibercriminosos agora determinam quando um aplicativo adequado está sendo iniciado pela vítima e quando ativar o processo de obtenção de credenciais em vez de deixá-lo para uma função automatizada dentro da própria ameaça.
Outra característica dos ataques do BrazKing é que eles não requerem a permissão 'android.permission.SYSTEM_ALERT_WINDOW' aprovada pelo usuário. Em vez disso, o malware carrega o URL da tela de sobreposição em um webview e o exibe em uma janela.
O malware bancário para o celular continua a evoluir e os usuários devem tomar as medidas necessárias para proteger seus dispositivos e não se expor a riscos desnecessários.
